[PHP]Na Każdej Podstronie Logowanie Opcje

[Matimor]

Witajcie
Mam taki problem, zrobiłem system logowania na stronie lecz, gdy zaloguję się np. na stronie głównej i przejdę do innej zakładki to już jestem wylogowany i tak w kółko. Jak mogę zrobić to na podstawie ciasteczek? Tak aby zapisywało mi sesję itd. Wszystko jest zrobione pod sesion_start itp.

Aha dodam jeszcze, że w każdej zakładce login.php jest pod include.

[wookieb]

Nie podałeś kodu więc jak mamy ci pomóc. Modlitwą?
Poza tym czytaj manual w dziale z sesjami.

[drake88]

zastosuj PHPSESSID, która jest unikalnym ciągiem znaków, wysyłanym do przeglądarki użytkownika i zapisywana na dysku jako ciasteczko (cookie).

[Matimor]

Sry zapomniałem kodu.

[PHP] pobierz, plaintext 
<?php
session_start();
 
 
	$mode = $_GET['m'];
 
	if(!$x)
	{
        mysql_connect('***','***','***')
        or die('Nieudane połączenie z bazą danych.');
        mysql_select_db('***')
        or die('Nie udało się wybrać bazy danych.');
	    $x = true;
	}
 
    if($mode == 'logout' && $_SESSION['zalogowany'])
	{
	    session_destroy();
		echo '<meta http-equiv="refresh" content="0; url=http://www.adres-forum.pl">';
	}
    if(isset($_POST['submit_reg']))
    {
        $login = $_POST['login'];
		$password = $_POST['password'];
 
		    $password = md5($password);
		    $sql = "INSERT INTO users (username, password) VALUES('$login','$password')";
			if(@mysql_query($sql))
			{
			    echo '<meta http-equiv="refresh" content="0; url=./zakonczenie.php">';
			}
			else
			{
			    echo 'bład przesylu danych!';
			}
    }
	else  if(isset($_POST['submit_log']))
    {
        $login = $_POST['login'];
		$password = $_POST['password'];
 
		    $password = md5($password);
		    $sql = "SELECT * FROM users WHERE username = '$login' AND password = '$password'";
			if(($result = @mysql_query($sql)))
			{
			    $row = @mysql_fetch_array($result);
			    if($row['password'] == $password)
				{
				    $_SESSION['zalogowany'] = true;
				    $_SESSION['username'] = $row['username'];
				}
                else
                {
                    echo  '<meta http-equiv="Refresh" content="0; URL=login.php"; />';
                }
			}
			else
			{
			    echo 'Brak danych dla tego logina';
			}
 
    }
?>
[PHP] pobierz, plaintext 

[wookieb]

A na każdej stronie masz session_start na początku?
I nie komentuje kompletnego braku zabezpieczenia przed sql injection...

Ten post edytował wookieb 13.09.2009, 11:33:50

[Matimor]

Tak mam.

Jak mam to zabezpieczyć?

[drake88]

chcesz zabezpieczyć sesje?

[PHP] pobierz, plaintext 
$session_timeout = 60 * 1200; // czas po którym sesja ma wygasnąć w sekundach
 
$session_fingerprint = @md5($_SERVER['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT']);
 
session_start();
 
 
 
if (
 
 (isset($_SESSION['last_active']) && $_SESSION['last_active']<(time()-$session_timeout)) 
 
 || (isset($_SESSION['fingerprint']) && $_SESSION['fingerprint']!=$session_fingerprint)) 
 
{
 
	@setcookie(session_name(), '', time()-3600, '/');
 
	@session_destroy();
 
}
 
 
 
session_regenerate_id(); 
 
$_SESSION['last_active'] = time();
 
$_SESSION['fingerprint'] = $session_fingerprint;
[PHP] pobierz, plaintext 

Ten post edytował vonEverest 13.09.2009, 11:40:36

[Matimor]

Nie wiem czy właśnie o to chodziło ale też się przyda, chodzi dokładniej o sql injection.